NailaoLocker Ransomware: En stigende trussel mot europeiske organisasjoner
Table of Contents
Hva er NailaoLocker Ransomware?
NailaoLocker er et ransomware-program skrevet i C++, designet for å kryptere ofrenes filer og kreve betaling for dekrypteringen deres. Denne trusselen har blitt observert rettet mot organisasjoner i Europa, inkludert de i helsesektoren. Selv om den ikke har blitt definitivt knyttet til noen kjent nettkriminell gruppe, ligner taktikken den til beryktede kinesisk-tilknyttede skuespillere.
Når NailaoLocker infiltrerer et system, krypterer det filer og legger til en ".locked"-utvidelse til navnene deres. For eksempel vil en fil med navnet "document.pdf" vises som "document.pdf.locked" etter kryptering. Etter denne prosessen genererer løsepengevaren en løsepengenotat som advarer ofre om konsekvensene av å ikke betale den krevde summen.
Hva NailaoLocker Ransomware krever
Løsepengene informerer ofrene om at filene deres er kryptert og bare kan gjenopprettes ved å betale løsepenger i Bitcoin . Selv om det nøyaktige beløpet ikke er spesifisert, advarer meldingen om at manglende overholdelse innen en uke vil føre til sletting av de berørte filene. Angriperne hevder at når betalingen er utført, vil dekryptering finne sted innen 24 timer.
Ofre frarådes også å tukle med de krypterte filene. Forsøk på å flytte, slette eller dekryptere dem ved hjelp av tredjepartsapplikasjoner kan føre til permanent tap av data. Til tross for disse advarslene er det imidlertid ingen garanti for at angriperne vil gi dekrypteringsverktøy selv om løsepenger er betalt.
Her er løsepengene i sin helhet:
[1.Your important files are encrypted. If you want to decrypt your files, please follow the instructions.]
[2.Do you need file decryption service (restore your files to their original state)? If not, your files will be automatically deleted after one week.]
[3.If you need to purchase unlocking service, please contact us and we will tell you the amount (pay with BTC)]
[4.After you complete the payment using BTC, we will deliver the unlocking program within 24 hours. Once the program is run on the locked computer, all files will be unlocked.]
[5.BTC purchase website:hxxps://www.coinbase.com, hxxps://www.bitfinex.com, hxxps://www.binance.com]
[Contact us on johncollinsy@proton.me]
[Notice:Do not delete or move locked files without unlocking them first.]
[Notice:The encryption algorithm uses symmetric encryption, and the password is a string of characters with the same length as the Bitcoin private key. If you can crack Bitcoin, then congratulations, you can decrypt it yourself. Otherwise, please contact us to purchase our decryption tool. Don't have illusions!!!]
En Ransomware-stamme med svak utførelse
I motsetning til mer avansert løsepengevare, mangler NailaoLocker anti-feilsøkingsfunksjoner og deaktiverer ikke kritiske systemprosesser eller tjenester før kryptering. Dette tilsynet betyr at hvis viktige systemfiler er kryptert, kan operativsystemet bli ubrukelig. I tillegg, mens noen løsepengevarestammer driver med dobbel utpressing ved å stjele sensitive data, nevner ikke NailaoLockers løsepenger eksplisitt dataeksfiltrering.
Gitt vår omfattende erfaring med ransomware-infeksjoner, kan vi konkludere med at dekryptering uten angripernes samarbeid vanligvis er umulig. Selv i tilfeller der løsepenger betales, mislykkes ofte nettkriminelle i å levere den lovede dekrypteringsnøkkelen. Å støtte denne ulovlige aktiviteten ved å betale løsepenger frarådes på det sterkeste.
Forhindrer ytterligere skade fra NailaoLocker
Fjerning av NailaoLocker fra et infisert system kan forhindre ytterligere filkryptering, men det vil ikke gjenopprette kompromitterte data. Den eneste effektive måten å gjenopprette krypterte filer er gjennom sikkerhetskopier lagret separat fra det infiserte systemet. Dette fremhever viktigheten av å opprettholde sikkerhetskopier på flere steder, for eksempel frakoblede eksterne lagringsenheter og eksterne servere.
Likhetene mellom NailaoLocker og annen ransomware
NailaoLocker følger samme mønster som andre ransomware-trusler, som Vgod , CipherLocker , FXLocker , SafePay og DeathHunters . Alle disse programmene krypterer filer og krever betaling for restaurering. Imidlertid er de forskjellige på to nøkkelaspekter: de kryptografiske algoritmene som brukes (symmetrisk eller asymmetrisk) og løsepengebeløpet, som varierer basert på om målet er en individuell bruker eller en stor organisasjon.
Selv om NailaoLocker er relativt usofistikert, utgjør den fortsatt en betydelig trussel mot virksomheter og institusjoner som mangler robuste cybersikkerhetstiltak. Ransomware-grupper skreddersyr ofte angrepene sine for å utnytte spesifikke sårbarheter i målenes nettverk.
Hvordan NailaoLocker infiltrerer systemer
I observerte angrep på europeiske organisasjoner ble NailaoLocker distribuert ved å utnytte en sårbarhet i Check Point VPN-applikasjonen, muligens den som ble identifisert som "CVE-2024-24919." Trusselen ble introdusert gjennom ShadowPad malware eller PlugX Remote Access Trojan (RAT). Imidlertid kan denne løsepengevaren også spres via andre vanlige distribusjonsmetoder.
Nettkriminelle er ofte avhengige av phishing og sosial ingeniør-taktikk for å spre løsepengevare. Skadelig programvare er ofte forkledd som eller buntet med tilsynelatende harmløse filer. Når de er åpnet, starter disse filene nedlasting og kjøring av skadelig programvare.
Vanlige ransomware-distribusjonsmetoder
Ransomware som NailaoLocker distribueres ofte på forskjellige måter, inkludert:
- Drive-by-nedlastinger fra kompromitterte eller ondsinnede nettsteder
- Trusler av typen laster/bakdør
- Tvilsomme nedlastingskilder, for eksempel tredjeparts filhostingsplattformer og Peer-to-Peer-delingsnettverk
- Nettsvindel designet for å lure brukere til å kjøre skadelige filer
- Malvertising-kampanjer som injiserer skadelige annonser på legitime nettsteder
- Spam-e-poster og direktemeldinger som inneholder infiserte vedlegg eller lenker
- Falske programvareoppdateringer og ulovlige aktiveringsverktøy ("cracks")
- Selvutbredelse via lokale nettverk og flyttbare lagringsenheter
Disse taktikkene lar løsepengevare spre seg raskt og infisere flere systemer i en organisasjon, noe som forsterker effekten.
Beste fremgangsmåter for å unngå ransomware-infeksjoner
For å redusere risikoen for ransomware-infeksjoner, bør brukere og organisasjoner ta i bruk følgende sikkerhetstiltak:
- Last ned programvare kun fra offisielle og anerkjente nettsteder
- Oppdater programmer regelmessig ved å bruke legitime oppdateringsfunksjoner
- Vær forsiktig når du åpner e-poster fra ukjente avsendere, spesielt de som inneholder vedlegg eller lenker
- Bruk sterke nettverkssikkerhetstiltak, inkludert brannmurer og inntrengningsdeteksjonssystemer
- Oppretthold offline og sky-sikkerhetskopier av kritiske data
- Lær ansatte til å gjenkjenne phishing og andre sosiale ingeniørangrep
Ved å implementere denne praksisen kan enkeltpersoner og bedrifter redusere sannsynligheten for at NailaoLocker blir angrepet eller støter på lignende trusler betydelig.
Bunnlinjen
NailaoLocker løsepengevare, selv om det ikke er den mest sofistikerte stammen, utgjør en reell risiko for organisasjoner, spesielt i Europa. Dens avhengighet av standard krypteringstaktikker og løsepengekrav justerer den med andre løsepengeprogrammer, men mangelen på avanserte unnvikelsesteknikker kan begrense dens generelle effektivitet.
Som med all løsepengevare, er forebygging det beste forsvaret. Brukere bør være på vakt, ta i bruk beste sikkerhetspraksis og sørge for at kritiske data blir sikkerhetskopiert på sikre steder. Siden betaling av løsepenger ikke garanterer datagjenoppretting, er det viktig å unngå infeksjon i utgangspunktet.
